Tecnología

Inicio

Cómo crear un Internet Sólo VLAN en un router

March 13

Cómo crear un Internet Sólo VLAN en un router


Redes de área local virtual (VLAN) permiten conmutadores de red para separar el tráfico en base a un identificador lógico, conocido como un ID de VLAN. Cuando se utiliza junto con un router compatible con subinterfaces, una VLAN se puede crear que sólo permite a los usuarios acceder a Internet y no hay otros recursos en la red. El enrutador puede ser configurado para diferenciar entre los dispositivos conectados a la de sólo Internet y otra tráfico que llega en las mismas conexiones físicas, el uso de listas de acceso y las tablas de enrutamiento para prevenir la antigua de la comunicación con este último.

Instrucciones

1 Planificar su red. Se necesitan dos espacios de direcciones separadas, Protocolo de Internet no se solapan (IP) para cada red. El espacio de direcciones privadas más común es 192.168.yx, con una máscara de subred 255.255.255.0 (donde "Y" es un número estático de 1 a 254 y X es el número que se asigna a cada host individual).

2 Conectarse al router. En un router Cisco, esta podrá implicar una sesión de telnet a su dirección IP administrativa o una conexión directa desde el puerto serie del PC al puerto de consola del router. Otros, routers de nivel de consumo podrían utilizar una interfaz Web que tiene acceso escribiendo su IP administrativa en un navegador Web. Consulte con el fabricante para obtener instrucciones específicas sobre cómo acceder a la interfaz de configuración.

3 Configurar subinterfaces virtuales en el puerto físico que conecta desde el conmutador al router. En un router Cisco, que va a hacer esto al introducir el modo de configuración de la interfaz: ". Int [nombre de la interfaz] [número de interfaz] [ID de VLAN]" (por ejemplo, "int ethernet0") y luego entrar en el sub-interfaz escribiendo (por ejemplo, "int E0.1").

4 Habilitar o dot1q ISL VLAN encapsulación en todos los sub-interfaces, dando a cada uno un número de identificación de VLAN separada (un número entre 1 y 4094). En los routers Cisco, este mandato se emite en el modo de configuración de sub-interfaz y tiene el formato de "encapsulación [dot1q o ISL] [ID de VLAN]" (por ejemplo: "encapsulación dot1q 10" para la VLAN "10"). Emitir este comando separado para cada sub-interfaz.

5 Asignar todos los sub-interfaces de una dirección de pasarela dentro de su respectiva red. La dirección de puerta de enlace IP suele ser el primero o el último número de host de la red (por ejemplo: la red 192.168.2.x tendría una interfaz de 192.168.2.1 o 192.168.2.254). En un router Cisco, este comando sería (en el modo de configuración de sub-interfaz) "dirección IP [dirección] [máscara de subred]" (por ejemplo: Dirección IP 192.168.2.1 255.255.255.0)

6 Configurar tablas de enrutamiento para cada red VLAN. Asegúrese de que el de sólo Internet VLAN tiene una ruta por defecto (0.0.0.0) que apunta al puerto en el router conectado a internet. En un router Cisco, se emite este comando en el modo de configuración global escribiendo "ip route 0.0.0.0 0.0.0.0 [dirección IP de interfaz o de la próxima 'salto']"

7 Crear una lista de control de acceso (ACL) que va a denegar el tráfico de cualquier miembro de la red de Internet de sólo el acceso a otras redes. listas de control de acceso puede ser complicado, pero las miradas de mando individuales en los routers de Cisco como "lista de acceso [Número ACL] negar [dirección de red de Internet-only] [sólo por Internet máscara wildcard] [otra dirección de red] [otra máscara wildcard de red] (por ejemplo: la lista de acceso 10 niegan 192.168.2.0 192.168.3.0 0.0.0.255 0.0.0.255) ".

8 Aplicar la lista de acceso a la sub-interfaz de Internet-solamente. En los routers de Cisco, se puede hacer esto de ir al modo de configuración de interfaz y ejecutando el comando "access-group [ACL número / nombre] [IN / OUT]."

Consejos y advertencias

  • Con todos los diferentes números de VLAN y la dirección, que es bueno para desarrollar un sistema para mantener la coherencia. Considere hacer el número de red y VLAN ID de la misma, atar VLAN 2, por ejemplo, a la red 192.168. * 2 * 0,0. De esta manera, usted sabrá que los anfitriones con una dirección 192.168.2.x son miembros de la VLAN 2.
  • Con los routers de Cisco, puede añadir comentarios a la sub-interfaz mediante la emisión de la "Descripción [Texto]" o "observación [observación]" comandos. De esta manera, cuando usted u otra persona tiene que trabajar con la configuración del router, se puede obtener una descripción clara de lo que el sub-interfaz fue diseñada para lograr (por ejemplo, "Descripción: Este es el exclusivo de Internet VLAN")
  • los routers de Cisco son algunos de los más comunes en los EE.UU.; Sin embargo, muchos fabricantes proporcionan acceso a estas mismas opciones de configuración a través de interfaces web con menús desplegables y cuadros de texto. Consulte con el fabricante del router para verificar que la mejor manera de emitir estos comandos.
  • Asegúrese de que el puerto de conexión del interruptor al router está configurado como un tronco de VLAN. Si el puerto del conmutador no es un tronco, no se transmita ningún tramas de datos de VLAN exterior de aquella a la que se le asignó.